/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to README

added some comments about security

Show diffs side-by-side

added added

removed removed

Lines of Context:
README
48
48
  the root file, and continue booting.
49
49
  
50
50
  Now, of course the initial RAM disk image is not on the encrypted
51
 
  root file system, so anyone who would come and take the the whole
52
 
  computer would have the Mandos client key when they took the server
53
 
  offline and read the disk with their own tools.  *But*, by then the
54
 
  Mandos server will have detected that the original server is no
55
 
  longer online and will no longer give out the encrypted key.  The
56
 
  timing here is the only real weak point, and the method, frequency
57
 
  and timeout of checking can be adjusted to any desired level of
58
 
  paranoia.
 
51
  root file system, so anyone who would then have pyshical access,
 
52
  could try to take the server offline and read the disk with their
 
53
  own tools so to steal the authentication keys used by a client
 
54
  *But*, by then the Mandos server should have detected that the
 
55
  original server is no longer online and will no longer give out the
 
56
  encrypted key.  The timing here is the only real weak point, and the
 
57
  method, frequency and timeout of checking can be adjusted to any
 
58
  desired level of paranoia
59
59
  
60
60
  (The encrypted keys on the Mandos server is on its normal file
61
61
  system, so those are safe, provided the root file system of that
74
74
   
75
75
   As the typical SOP seems to be to barge in and turn off and grab
76
76
   *all* computers to maybe look at them months later, this is not
77
 
   likely.
 
77
   likely. It is just simplier to steal a password from a encrypted
 
78
   system by hardware memory scanners if one have this amount of time
 
79
   of physical access to the server.
78
80
 
79
81
** Replay attacks?
80
82
   Nope, the network stuff is all done over TLS, which provides
90
92
   must-type-in-the-password-at-boot method.  Or you could have two
91
93
   computers be the Mandos server for each other.  (Multiple Mandos
92
94
   servers can coexist on a network without any trouble.  They do not
93
 
   clash, and clients will try all available servers.)
 
95
   clash, and clients will try all available servers.). That mean if
 
96
   just one is down then the other can bring it back up, but if bouth
 
97
   is out then they stay down until a
 
98
   must-type-in-the-password-at-boot have happend.
94
99
 
95
100
** Faking ping replies?
96
101
   The default for the server is to use "fping", the replies to which